Биометрические персональные данные и технологии идентификации: какие правовые проблемы могут возникнуть?
 |
| pegasustudio / Depositphotos.com |
Автоматизация занимает отдельное место в сфере идентификации и аутентификации пользователей – использование функции распознавания человека применяется как организациями, так и государственными органами. К первому случаю можно отнести оказание финансовых услуг банковскими организациями: так, некоторые банки используют системы идентификации с помощью биометрии, например, с помощью голоса можно подтверждать совершение операций. Примером второго выступает использование камер видеонаблюдения, установленных на улице и в общественном транспорте.
Государство амбициозно внедряет новые автоматизированные решения: к данному процессу подключаются различные предприятия. На тематическом мероприятии директор по информационным технологиям АО «Гознак» Олег Барсуков сообщил о том, что компания занимается разработкой и автоматизации прохода пассажиров на транспорт на основе биометрической идентификации и электронного документа. Он пообещал представить на обозрение в ближайшее время технологию верификации по радужной оболочке глаза. Эксперт также отметил, что предприятие развивает технологии, использующие в основе биометрию: помимо радужной оболочки глаза также планируют сканировать вены ладоней.
При правовой оценке планируемых нововведений возникает вопрос о том, каким образом они будут соотноситься с законодательством, а именно каким образом будет соблюдаться Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ).
В первую очередь следует определить, относятся ли данные, получаемые при идентификации с помощью радужной оболочки глаза или вен ладоней, к биометрическим персональным данным. Текущее законодательство, разъяснения государственных органов и судебная практика в значительной степени разнятся.
К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека (п. 1 ст. 11 Закона № 152-ФЗ). Важно отметить, что на основании таких сведений можно установить личность субъекта персональных данных: для этой цели они обрабатываются оператором.
Постановление Правительства РФ от 30 июня 2018 г. № 772 к биометрическим персональным данным относит изображение лица человека, полученные с помощью фото-, видеоустройств и данные голоса человека, полученные с помощью звукозаписывающих устройств (подп. а) Постановления).
Роскомнадзор также выражал свою позицию по вопросу того, какие персональные данные относятся к биометрическим. Так, по мнению ведомства, к биометрическим персональным данным относятся физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), которые позволяют установить его личность и используются оператором для установления личности субъекта (Разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30 августа 2013 г. «Разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки»). К ним же относятся фото и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина.
При этом судебная практика демонстрирует противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным, а какие нет.
Фотографии на пропуске суды расценивают как биометрические персональные данные. Так, в одном деле Арбитражного суда Северо-Западного округа прямо указал, что такие фотографии характеризуют физиологические и биологические особенности человека, на основе которых можно установить его личность путем сравнения фото и содержащихся на документе (пропуске) фамилии, имени и отчества с лицом предъявителя пропуска (Постановление Арбитражного суда Северо-Западного округа от 21 ноября 2017 г. N Ф07-11732/17 по делу № А42-342/2017). Верховный Суд Российской Федерации впоследствии подтвердил позицию суда нижестоящей инстанции, отметив, что предприятие не получило согласие субъектов на обработку биометрических персональных данных (Определение Верховного Суда РФ от 5 марта 2018 г. № 307-КГ18-101 по делу № А42-342/2017). К аналогичным доводам приходят и другие суды – лица, предоставляющие фотографию на пропуск с целью использования предприятием для установления личности субъекта, должны давать письменное согласие на обработку биометрических персональных данных (Постановление Тринадцатого арбитражного апелляционного суда от 16 августа 2018 г. № 13АП-15087/18).
В одном деле гражданка П. обратилась в ГУ МВД России с административным иском на Департамент информационных технологий (ДИТ) г. Москвы. По мнению истца, ДИТ с помощью камер видеонаблюдения обрабатывает ее биометрические персональные данные. Судебная коллегия не усмотрела факта идентификации, в связи с чем решила, что само по себе получение изображения истца в период ее нахождения на территории, попадающей под сектор наблюдения конкретной камеры, установленной в целях контроля за окружающей обстановкой, не является способом сбора биометрических персональных данных, поскольку не использовалось непосредственно для определения личности, а при отсутствии процедуры идентификации личности, видеоизображения граждан не могут считаться биометрическими персональными данными. Суд посчитал, что в рассматриваемом случае отсутствует необходимость получать письменное согласие гражданина на обработку биометрических персональных данных. Подробнее об этом деле, а также об утечках при использовании систем распознавания лиц читайте в нашем материале: Использование системы видеонаблюдения – нарушение законодательства о персональных данных?
В другом деле гражданка С. пожаловалась на гражданку М., которая без согласия осуществляла видеосъемку на камеру мобильного телефона с участием первой. Территориальное управление Роскомнадзора отказало в возбуждении дела, установив, что видеозапись не содержит сведений, позволяющих идентифицировать гражданку С. как конкретного субъекта персональных данных, что свидетельствует об отсутствии нарушений положений закона о персональных данных, в связи с чем доводы жалобы были опровергнуты районным и областным судом (Постановление Четвертого кассационного суда общей юрисдикции от 16 октября 2020 г. по делу № 16-894/2020).
Основную сложность использование обработки биометрических персональных данных обязательное наличие согласия в письменной форме (ч. 1 ст. 11 Закона № 152-ФЗ). Более того, при применении информационных технологий в целях идентификации применяется форма, утвержденная Правительством РФ (в соответствии с ч. 5 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»). Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено законом (п. 1 ст. 9 Закона № 152-ФЗ).
Обработка биометрических персональных данных возможна без согласия субъекта в некоторых случаях, определенных законом. Представляется, что для целей обработки персональных данных при идентификации может быть справедливо следующие случаи (ч. 2 ст. 11 Закона № 152-ФЗ):
- в связи с осуществлением правосудия и исполнением судебных актов;
- в связи с проведением обязательной государственной дактилоскопической регистрации;
- в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности.
Помимо требования об обязательном письменном согласии на обработку персональных данных оператору требуется соблюдать положение о неразглашении персональных данных без согласия субъекта. В одном деле апелляционный суд согласился с доводами суда первой инстанции, отметив, что у потребителя не было возможности отказаться от передачи его персональных данных третьим лицам, и, следовательно, потребитель, являющийся стороной договора, был лишен возможности влиять на его содержание (Постановление Одиннадцатого арбитражного апелляционного суда от 28 октября 2020 г. № 11АП-13301/20 по делу N А55-14835/2020). Такую деятельность суд трактовал как нарушение законодательства, в части персональных данных деятельность ответчика противоречит ст. 7 Закона № 152-ФЗ – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных.
В условиях цифровизации основная опасность – кража идентификации, уверен заместитель Министра финансов Российской Федерации, председатель совета директоров АО «Гознак» Алексей Моисеев. В случае скомпроментирования пароля банк сразу заметит, оповестит клиента, который, в свою очередь, может поменять пароль. В случае же кражи идентификации сценарий действия не так очевиден.
В последнее время СМИ сообщают об участившихся случаях финансового мошенничества с использованием биометрии. Так, жителю Москвы позвонил неизвестный, представившийся банковским сотрудником, сообщил о сомнительной операции, якобы совершенной с использованием счета гражданина 1 . Примечательно, что злоумышленник не запрашивал дополнительные данные, а попросил ответить утвердительно или отрицательно на вопрос: «Согласны ли Вы заблокировать счета карт, с которых были попытки списаний неизвестными?». После утвердительного ответа гражданин обнаружил поступление кредитных средств на свой счет и последующее их списание вместе с личными сбережениями. Данный пример демонстрирует, как использование верификации по голосу способствовала мошенническим действиям. Однако, представляется, что такие случаи не должны являться препятствием к внедрению и развитию систем идентификации на основании биометрических данных. Лучшим способом противодействия мошенническим схемам является осведомленность граждан о случаях мошенничества – подробнее об этом читайте в нашем материале: Телефонное мошенничество: как противодействовать обману.
1 Подробнее об этом случае можно узнать на официальном сайте окружной электронной газеты Зеленоградского административного округа г. Москвы.
Источник
Задание №4. Ответьте на вопросы
Практическая работа №2
ПО «ИНФОРМАТИКЕ»
На тему «Информационная деятельность человека»
Студентка группы ИСП-0-19
Содержание работы:
Задание №1.Найти в Интернет закон РФ «Об информации, информационных технологиях и о защите информации» и выделить определения понятий
1. Информация— сведения (сообщения, данные) независимо от формы их представления;
2. Информационные технологии— процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
3. Информационно-телекоммуникационная сеть— технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;
4. Доступ к информации— возможность получения информации и ее использования;
5. Конфиденциальность информации— обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
6. Электронное сообщение— информация, переданная или полученная пользователем информационно-телекоммуникационной сети;
7. Документированная информация— зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Задание 2. Найдите ответы на следующие вопросы
| Вопрос | Ответ |
| 1. Чем же угрожает использование нелицензионного программного обеспечения? | Получение каких-либо вирусов, не должная работа программы |
| 2. Определите стоимость каждого программного продукта: — Операционная система Windows 8.1 x64; — Microsoft Office Стандартный 2013; — Антивирус Dr.Web Security Space PRO; — Adobe Photoshop CC. | Windows 8.1 x64 (10000р) Microsoft Office (8000р) Антивирус Dr.Web Security Space PRO (1000р) Adobe Photoshop CC (23000р) |
| 3. Перечислите три свободно распространяемых продукта, их назначение и аналоги? | Новые недоработанные (бета) версии программных продуктов (это позволяет провести их широкое тестирование). Программные продукты, являющиеся частью принципиально новых технологий (это позволяет завоевать рынок). Дополнения к ранее выпущенным программам, исправляющие найденные ошибки или расширяющие возможности |
| Дать определение понятия «Пользовательское соглашение»? | Пользовательское соглашение – это соглашение пользователей сайта (читателей, клиентов, партнёров) с одной стороны и сайтом (блогом, интернет магазином, сервисом, автором блога) с другой стороны, в котором прописаны ряд условий между сторонами. |
Задание №3. Изучив лицензионное соглашение на использование программного обеспечения Microsoft, ответьте на следующие вопросы
| 1. На какой срок назначается лицензированному компьютеру Лицензия на программное обеспечение? | От 8 месяцев до нескольких лет |
| 2. Собирает ли программное обеспечение персональные данные пользователя? | Да |
| 3. Какие сведения передает программное обеспечение во время активации? | Hardware id, версию системы, имя пользователя и еще некоторые системные данные. от ПО к ПО список разный |
| 4. В отношении чего применяется настоящее соглашение? | Настоящее соглашение применяется к программному обеспечению, носителю, на котором вы получили данное программное обеспечение |
| 5. Как выполняется обновление или преобразование программного обеспечения? | Программное обеспечение в рамках этого соглашения является обновлением для текущей операционной системы, то есть обновление заменяет исходное обновляемое программное обеспечение. |
| 6. В каких случаях нельзя использовать программное обеспечение выпусков «Для дома и учебы»? | массовое распространение программы |
Задание №4. Ответьте на вопросы
1. Какие программы называют лицензионными?
-Лицензионными называют те программы, которые куплены у официального распространителя через официальный источник продаж. Напрямую или через интернет
2. Какие программы называют условно бесплатными?
-Условно бесплатными называют те программы, которые можно легально скачать с официального источника производителя бесплатно, но у них присутствует возможность платежей внутри самой программы. К примеру, покупка premium аккаунта, расширяющего функции базовой версии.
3. Какие программы называют свободно распространяемыми?
-Свободно распространяемыми называют те программы, права на скачивания у которых, не ограничены только официальным источником, т.е скачать их можно с любого стороннего источника.
4. В чем состоит различие между лицензионными, условно бесплатными и бесплатными программами?
-В соответствии с лицензионным соглашением разработчики гарантируют нормальное функционирование лицензионной программы в определенной информационной системе и несут за это ответственность. Лицензионная версия программы включает в себя доступ ко всем функциональным возможностям программы.
Условно бесплатные программы — версия программы с ограниченным сроком действия или ограниченными функциональными возможностями. Свободно распространяемые программы бесплатны. Однако, не исключены различные ошибки программ.
5. Как можно зафиксировать свое авторское право на программный продукт?
-Для признания авторского права на программу для компьютера не требуется ее регистрации в какой-либо организации. Авторское право на программу возникает автоматически при ее создании. Для оповещения о своих правах разработчик может, начиная с первого выпуска программы в свет, использовать знак охраны авторского права.
6. Какие используются способы идентификации личности при предоставлении доступа к информации?
-Пароли, биометрические системы идентификации (по отпечаткам пальцев, системы распознавания речи, системы идентификации по радужной оболочке глаза)
7. Почему компьютерное пиратство наносит ущерб обществу?
— Компьютерные пираты, нелегально тиражируя ПО, обесценивают труд программистов, делают разработку программ экономические невыгодным бизнесом. Кроме того, компьютерные пираты нередко предлагают пользователям недоработанные программы, программы с ошибками или демонстрационные версии программ.
8. Какие существуют программные и аппаратные способы защиты информации?
Аппаратные:
-защита от сбоев устройств хранения информации
-защита от сбоев в питании
-защита от сбоев серверов, локальных компьютеров
Программные:
-удаление временных файлов
9. Чем отличается простое копирование файлов от инсталляции программ?
Копирование- файл, сделанный по образцу другого файла.
Инсталляция- процесс установки программного обеспечения.
10. Что такое инсталлятор?
Программа установки, установщик или инсталлятор (англ. Installer)- это программа, которая устанавливает программное обеспечение на компьютер.
11. Как запустить установленную программу?
Двойное нажатие по ярлыку установленной программы приведёт её в исполнение.
12. Как удалить ненужную программу с компьютера?
Для удаления программы в OC Windows необходимо войти в Панель управления, затем в пункт «Программы и компоненты», в появившемся окне из списка выбрать необходимое ПО и нажать «Удалить».
Источник
